您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。

Heartbleed

請以左右鍵切換緣起弱點說明(最左邊)、影響範圍(左邊)、檢測方式(中間)、檢測工具(右邊)、防護建議(最右邊)之頁籤

OpenSSL是以Eric Young與Tim Hudson所寫的SSLeay為基礎之開放原始碼SSL套件,主要功能為基本的傳輸層資料加密。在2012/3/14推出的1.0.1版本存在高風險漏洞(漏洞編號:CVE-2014-0160),漏洞與OpenSSL TLS/DTLS傳輸層安全協議heartbeat擴充元件相關,因此又被稱為Heartbleed漏洞,該漏洞允許攻擊者從伺服器記憶體中讀取最多64KB的資料,將造成記憶體內容外洩風險。

漏洞資訊

漏洞編號:CVE-2014-0160

影響OpenSSL版本:

  • OpenSSL 1.0.1~1.0.1f版本
  • OpenSSL 1.0.2-beta~1.0.2-beta1版本

影響系統版本:安裝有漏洞版本OpenSSL的任意作業系統與套件

可能風險:

  • 攻擊者利用該漏洞無需通過權限或身份驗證,即可讀取伺服器記憶體,竊取SSL私密金鑰、Session cookie或使用者帳號密碼等機敏資訊。
  • 攻擊者可針對由OpenSSL保護的網路通信進行解密、偽冒或進行中間人攻擊,以竊取E-mail、文件及通訊內容等,進而入侵伺服器取得機敏資訊。

更新時間:2014/6/6

Heartbleed漏洞影響範圍針對安裝有弱點版本OpenSSL的任意作業系統與套件皆可能受到影響,技服中心蒐集受影響之相關軟體設備資訊,提供機關組織參考。

受影響供應商 受影響版本 參考資訊
Aruba Networks, Inc.  Aruba ArubaOS versions 6.3.x, 6.4.x 連結 
Aruba ClearPass versions 6.1.x, 6.2.x, 6.3.x
Barracuda Networks             Barracuda Web Filter Version 7.0 through 7.1              
Barracuda Message Archiver Version 3.5 and 3.6
Barracuda Web Application Firewall Version 7.8
Barracuda Link Balancer Version 2.5
Barracuda Load Balancer Version 4.2
Barracuda Load Balancer ADC Version 5.0 through 5.1
Barracuda Cudatel Version 3.0 and earlier
Barracuda Firewall 6.1
Barracuda Cloud Control
Barracuda Backup Service
Barracuda Email Security Service
Barracuda Copy
Barracuda SignNow
Blue Coat Systems          Blue Coat Content Analysis System versions 1.1.1.1 - 1.1.5.1 連結         
Blue Coat Malware Analysis Appliance version 1.1.1
Blue Coat ProxyAV versions 3.5.1.1 - 3.5.1.6
Blue Coat ProxySG versions 6.5.1.1 - 6.5.3.5
Blue Coat SSL Visibility 3.7.0
Blue Coat Content Analysis System CAS 1.1.1.1 - 1.1.5.1 (inclusive)
Blue Coat Malware Analysis Appliance 1.1
Blue Coat ProxyAV 3.5.1.1 - 3.5.1.6 (inclusive)
Blue Coat ProxySG 6.5.1.1 - 6.5.3.5 (inclusive)
Blue Coat SSL Visibility 3.7.0
CentOS  CentOS 6.5  連結
連結
Cisco Systems, Inc.          Cisco AnyConnect Secure Mobility Client for iOS 連結         
Cisco Desktop Collaboration Experience DX650
Cisco Unified 7800 series IP Phones
Cisco Unified 8961 IP Phone
Cisco Unified 9951 IP Phone
Cisco Unified 9971 IP Phone
Cisco TelePresence Video Communication Server (VCS)
Cisco IOS XECisco UCS B-Series (Blade) Servers
Cisco UCS C-Series (Stand alone Rack) Servers
Cisco Unified Communication Manager (UCM) 10.0
ClearFoundation ClearOS  6.x 連結
Debian GNU/Linux Debian Wheezy, Jessie 連結
DragonFly BSD DragonflyBSD 3.6 連結
Extreme Networks     Extreme Networks Black Diamond Series X8, 8900 and 8800 running EXOS version 15.4.1 連結    
Extreme Networks Summit Series X770, X670, X480, X460, X440, X430, E4G-200 and E4G-400 running EXOS version 15.4.1
Extreme Networks 64-bit (Ubuntu) hardware-based and virtual NetSight appliances; running versions 4.4, 5.0, 5.1, or 6.0
Extreme Networks 64-bit (Ubuntu) hardware-based and virtual NAC & IA appliances; running versions 5.0, 5.1, or 6.0
Extreme Networks 64-bit (Ubuntu) hardware-based and virtual Purview appliances; running version 6.0
F5 Networks, Inc.              F5 BIG-IP LTM versions 11.5.0 - 11.5.1 連結             
F5 BIG-IP AAM versions 11.5.0 - 11.5.1
F5 BIG-IP AFM versions 11.5.0 - 11.5.1
F5 BIG-IP Analytics versions 11.5.0 - 11.5.1
F5 BIG-IP APM versions 11.5.0 - 11.5.1
F5 BIG-IP ASM versions 11.5.0 - 11.5.1
F5 BIG-IP GTM versions 11.5.0 - 11.5.1
F5 BIG-IP Link Controller 11.5.0 - 11.5.1
F5 BIG-IP PEM versions 11.5.0 - 11.5.1
F5 BIG-IP PSM versions 11.5.0 - 11.5.1
F5 BIG-IP Edge Clients for Apple iOS versions 2.0.0 - 2.0.1 ja 1.0.5
F5 BIG-IP Edge Clients for Linux versions 7080 - 7101
F5 BIG-IP Edge Clients for MAC OS X versions 7080 - 7101 ja 6035 - 7071
F5 BIG-IP Edge Clients for Windows versions 7080 - 7101 ja 6035 - 7071
Fedora Project Fedora 19, 20 連結
Fortinet, Inc.             FortiGate FortiOS 5.0.5 ja 5.0.6 連結            
FortiGate (FortiOS) 5.0.0 - 5.0.6
FortiClient 5.x
FortiAuthenticator 3.x
FortiMail 4.3.x and 5.x
FortiVoice 200D, 200D-T and VM
FortiRecorder
FortiADC D-Series 1500D, 2000D and 4000D
FortiADC E-Series 3.x
Coyote Point Equalizer GX / LX 10.x
FortiDDoS 4.x
FortiDNS
AscenLink v6.5 and 7.0
FreeBSD Project FreeBSD 8 - 10.X 連結
Gentoo Linux Gentoo Linux  連結
Google  Android 4.1.1  連結
連結
Juniper Networks, Inc.           Junos OS 13.3R1 連結          
Juniper Odyssey client 5.6r5 and newer
Juniper SSL VPN (IVEOS) 7.4r1 and newer
Juniper SSL VPN (IVEOS) 8.0r1 and newer
Juniper UAC 4.4r1 and newer
Juniper UAC 5.0r1 and newer
Juniper Junos Pulse (Desktop) 5.0r1 and newer
Juniper Junos Pulse (Desktop) 4.0r5 and newer
Juniper Network Connect (windows) versions 7.4R5 - 7.4R9.1 & 8.0R1 to 8.0R3.1
Juniper Junos Pulse (Mobile) on Android 4.2R1 and newer
Juniper Junos Pulse (Mobile) on iOS 4.2R1
McAfee         McAfee ePolicy Orchestrator 連結        
McAfee Next Generation Firewall (Stonesoft)
McAfee Firewall Enterprise
McAfee Enterprise Security Manager (Nitro)
McAfee Email Gateway
McAfee Web Gateway
McAfee Security for Microsoft Exchange
McAfee Security for Microsoft Sharepoint
McAfee Security for Lotus Domino
NetBSD NetBSD 6.0 - 6.0.4, 6.1 - 6.1.3 連結
nginx NGINX 連結
OpenBSD   OpenBSD 5.3 - 5.4   連結
連結
連結
openSUSE project openSUSE 12.2 連結
OpenVPN Technologies  OpenVPN 2.3-rc2-I001 - 2.3.2-I003 連結 
OpenVPN Access Server 1.8.4 – 2.0.5
Oracle Corporation                       Oracle Linux 6 連結                      
Solaris 11.2
Oracle Communications Operations Monitor
Oracle MySQL Enterprise Monitor
Oracle MySQL Enterprise Server version 5.6
Oracle Communications Session Monitor
Oracle Linux
Oracle Mobile Security Suite
Oracle Solaris 11.2
Oracle BlueKai
Oracle Java ME - JSRs and Optional Packages
Oracle Java ME - Mobile and Wireless
Oracle MySQL Connector/C
Oracle MySQL Connector/ODBC
Oracle MySQL Workbench
Oracle Communications Internet Name and Address Management
Oracle Communications Application Session Controller
Oracle Communications Interactive Session Recorder 5.1
Oracle Communications Network Charging and Control
Oracle Communications Session Delivery Management Suite
Oracle Communications Session Monitor
Oracle Communications WebRTC Session Controller
Oracle Primavera P6 Prof Project Management
Red Hat, Inc.  Red Hat Enterprise Linux 6.5 - 7 beta 連結
Red Hat Storage 2.1 連結
Scientific Linux  Scientific Linux 6.5  連結
連結
Slackware Linux Inc. Slackware 14.0, 14.1, and current 連結
Ubuntu  Ubuntu 12.04 LTS, 12.10, 13.04, and 13.10  連結
連結
VMware                        VMware ESXi 5.5 連結
                      
VMware NSX-MH 4.x
VMware NSX-V 6.0.x
VMware NVP 3.x
VMware vCenter Server 5.5
VMware vFabric Web Server 5.0.x – 5.3.x
VMware Fusion 6.0.x
VMware Horizon Mirage Edge Gateway 4.4.x
VMware Horizon View 5.3 Feature Pack 1
VMware Horizon View Client for Android 2.1.x, 2.2.x, 2.3.x
VMware Horizon View Client for iOS 2.1.x, 2.2.x, 2.3.x
VMware Horizon View Client for Windows 2.3.x
VMware Horizon Workspace 1.0 連結
VMware Horizon Workspace 1.5
VMware Horizon Workspace 1.8
VMware Horizon Workspace Client for Macintosh 1.5.1
VMware Horizon Workspace Client for Macintosh 1.5.2
VMware Horizon Workspace Client for Windows 1.5.1
VMware Horizon Workspace Client for Windows 1.5.2
VMware Horizon Workspace for Macintosh 1.8
VMware Horizon Workspace for Windows 1.8
VMware OVF Tool 3.5.0
VMware vCloud Networking and Security (vCNS) 5.1.3
VMware vCloud Networking and Security (vCNS) 5.5.1
Watchguard Technologies, Inc. WatchGuard XTM ja XCS before version 11.8.3 CSP 連結

針對CVE-2014-0160可能產生之資安影響,提供下列檢測與改善建議供各機關參考。

自行檢視OpenSSL版本

使用OpenSSL

可利用OpenSSL指令檢視版本,輸入openssl version

利用OpenSSL指令檢視版本,輸入openssl version

使用dpkg (Debian / Ubuntu 系列)

可利用dpkg檢視所使用的OpenSSL版本,輸入dpkg -l openssl

利用dpkg檢視所使用的OpenSSL版本,輸入dpkg -l openssl

使用rpm(RedHat / CentOS / Fedora 系列)

可利用rpm檢視所使用的OpenSSL版本,輸入rpm -q openssl

利用rpm檢視所使用的OpenSSL版本,輸入rpm -q openssl

如版本為1.0.1至1.0.1f與OpenSSL 1.0.2-beta至1.0.2-beta1皆為本次受影響之版本。

使用Heartbleed Checker檢測網頁

檢測方法

檢測網站: http://heartbleed.honeynet.org.my

此網站由MyCERT所提供,於網站中直接輸入Domain Name即可直接進行檢測(使用外部檢測,需自行承擔風險),網站如下圖所示:

Heartbleed Checker檢測網頁

使用python程式檢測

確認python安裝版本,輸入python -V

檢測方法

確認python安裝版本,輸入python -V

下載python檢測程式ssltest.py : http://pastebin.com/WmxzjkXJ

指令格式:python ssltest.py [IP或DN] (-p [Port]),若未輸入port,預設為443,也可以指定特定SSL連接埠,如:imaps。
下圖以192.168.10.128為範例。

指令格式:python ssltest.py [IP或DN] (-p [Port])

檢測結果

如存在CVE-2014-0160漏洞則會印出SSL服務記憶體內的資訊,此時可以利用python ssltest.py 192.168.10.128 | more逐頁檢視。

如存在CVE-2014-0160漏洞則會印出SSL服務記憶體內的資訊

使用perl程式檢測

檢測方法

下載perl檢測程式check-ssl-heartbleed.pl : https://github.com/noxxi/p5-scripts/blob/master/check-ssl-heartbleed.pl

指令格式:perl check-ssl-heartbleed.pl [IP 或 DN]:443,也可以在網域名稱後指定特定SSL連接埠,如:imaps。

檢測結果

如機關存在CVE-2014-0160漏洞則在執行後會出現如下圖紅框內的結果。

檢測結果

使用弱點掃描軟體檢測

檢測方式

擁有Nessus軟體授權之機關可選用Plugin ID:73412進行檢測,可檢測OS如:CentOS、Debian、Fressbsd、Oracle Linux、RedHat、Amazon  Linux AMI and other platforms including Gentoo,Scientific Linux, Slackware。

如使用Nexpose軟體則可以參考Nexpose針對CVE-2014-0160建置專屬template 進行檢測。

使用Metasploit檢測

檢測環境架設

安裝Metasploit與至github更新CVE-2014-0160的檢測程式

匯入檢測程式以KAIL為例:

#mkdir /usr/share/metasploit-framework/modules/auxiliary/scanner/ssl/

#cp openssl_heartbleed.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/ssl/

檢測方法

利用Metasploit的msfcli檢測CVE-2014-0160漏洞。

參數說明:

  • THREADS設定執行序的數量
  • TLS_CALLBACK設定支援的協定,如:None, SMTP, IMAP, JABBER, POP3, FTP,HTTPS為None
  • PORT設定所要檢測的埠
  • RHOSTS設定要檢測的IP與網段

範例:

#msfcli auxiliary/scanner/ssl/openssl_heartbleed THREADS=256 TLS_CALLBACK=None PORT=443 RHOSTS=10.4.0.0/24 E

檢測結果

提供檢測圖示以確認主機是否含有CVE-2014-0160漏洞

  • 代表10.4.0.0/24網段有一台主機10.4.0.130含有CVE-2014-0160漏洞

確認主機是否含有CVE-2014-0160漏洞

檢測前置作業

  • 蒐集機關「內部IP」與「網段」資訊
  • 下載檢測工具(MD5: 042614283fb5c89e0105b037eca049f2)
  • 將檢測工具置於Windows平台電腦
    • 請確認該電腦可連線至檢測之內部IP與網段

檢測方法

檢查單一IP(不指定port)

  1. 點擊程式檔案後,選擇1
  2. 輸入單一IP
  3. 選擇是否指定Port(如不選擇或預設為443)

檢查單一IP(不指定port),點擊程式檔案後,選擇1,輸入單一IP,選擇是否指定Port

檢查單一IP(指定port)

  1. 點擊程式檔案後,選擇1
  2. 輸入單一IP
  3. 選擇Y後輸入指定的Port

檢查單一IP(指定port),選擇1,輸入單一IP,選擇Y後輸入指定的Port

掃描整個網段(不指定port)

  1. 點擊程式檔案後,選擇2
  2. 輸入掃描的起始IP與結束IP
  3. 選擇是否指定Port(如不選擇或預設為443)

掃描整個網段(不指定port),點擊程式檔案後,選擇2,輸入掃描的起始IP與結束IP,選擇是否指定Port

掃描整個網段(指定port)

  1. 點擊程式檔案後,選擇2
  2. 輸入掃描的起始IP與結束IP
  3. 選擇Y後輸入指定的Port

掃描整個網段(指定port),點擊程式檔案後,選擇2,輸入掃描的起始IP與結束IP,選擇Y後輸入指定的Port

檢測結果

檢測結果

檢測結果分為「沒有弱點」、「SSL連線錯誤」及「發現弱點」等3種狀態

  • 沒有弱點:該受測主機不存在HeartBleed弱點
  • SSL連線錯誤:無法建立與該主機的SSL連線
  • 發現弱點:該受測主機存在HeartBleed弱點
    請盡速與廠商聯繫,確認該主機使用之OpenSSL使用版本,盡速完成更新作業

改善建議

為避免機關遭駭客利用CVE-2014-0160漏洞而導致機敏資料外洩,技服中心提出以下幾點改善建議以供參考。

更新OpenSSL版本

更新OpenSSL至1.0.1g與1.0.2beta-2以上之版本

  • Apt-get更新(Debian / Ubuntu 系列)
    利用apt-get update 套件清單
  • 更新openssl套件,apt-get install openssl 如下圖。

  • 更新openssl套件,apt-get install openssl

  • Yum更新(RedHat / CentOS / Fedora 系列)
    利用yum update 套件清單
  • 更新openssl套件,yum upgrade openssl 如下圖。
  • 更新openssl套件,yum upgrade openssl 如圖

更新帳號密碼

更新管理者帳號密碼,亦可考慮同步要求使用者全面更新密碼。

重新產生伺服器私密金鑰

伺服器私密金鑰可能因為此漏洞而外洩,因此,建議重新產生伺服器私密金鑰。

更換新憑證

撤銷舊有憑證,重新使用新憑證。請參考GCA憑證申請作業與流程說明

防護建議

若機關無法自行更新OpenSSL版本,請參考以下防護建議。

安裝修補程式

隨時注意CVE-2014-0160漏洞影響範圍之更新,查看供應商是否有提供修補程式,並下載與安裝修補程式。

布署IDS規則

以Snort IDS為例,目前官方提供的Community Rules (06 May, 2014),已包含27條規則(sid: 30510 - 30517, 30520 - 30525, 30549, 30777 - 30788)可以偵測CVE-2014-0160攻擊,可將這些規則布署至IDS中。

結語

CVE-2014-0160漏洞已由OpenSSL於2014/4/7正式宣布影響範圍包含OpenSSL 1.0.2-beta~1.0.2-beta1、OpenSSL 1.0.1~1.0.1f,該漏洞將導致駭客可竊取機關機敏資訊。因此各機關應盡速了解機關內OpenSSL的使用情形,針對機關有使用OpenSSL之伺服器進行CVE-2014-0160漏洞檢測,以掌握可能產生的影響,如為重要業務之伺服器應盡速完成修補措施,並持續追蹤機關網站是否發生使用者帳號遭受盜用之情形,視情況決定是否需要通知使用者進行密碼更換。

技服中心將持續進行CVE-2014-0160漏洞檢測與通報作業,蒐集CVE-2014-0160漏洞資訊,彙整通報之CVE-2014-0160相關資安事件,以隨時掌握CVE-2014-0160資安事件與影響程度。